(持续更新中)Web功能测试下的安全测试如何进行?

最新推荐文章于 2024-07-19 12:58:53 发布
最新推荐文章于 2024-07-19 12:58:53 发布
阅读量702 收藏 18
点赞数 5
文章标签: 前端 功能测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84240129/article/details/139814516
版权

万事开头难,难在第一步如何走?没有知识积累、没有安全测试思维认知等等,将会让很多功能测试人员望而止步。

请看完我的文章描述,我相信可以助力你成为一个初级安全测试工程师!!!

一、思维认知

Q:安全测试测试什么啊?咋测?有什么工具自动去测?

Q:安全测试策略如何编写?

Q:安全测试如何执行?

Q:安全测试报告长啥样?咋写?

Q:什么是sql 注入?什么是文件上传漏洞?什么是 XSS 漏洞?

Q:什么是 CSRF 漏洞?

Q:什么是越权访问?

Q:什么是信息泄露?

以上问题作为功能测试人员往往满脑子都是这些问题。

很多初学者学习安全测试都会去搜索一些安全测试方法,比如提到很多的 kali、appscan 、ZAP 等自动化安全测试工具。 然后在不知道工具运行策略等基础上,拿来用是没有任何意义的,且通过实际操作,默认的工具策略执行出的结果是无法满足安全测试目标要求的。 学习的前提我个人建议应该是去工具化重思维理解。工具只是辅助的去验证你的思维结果正确性、结果性。

二、Web 安全测试范围

以下安全测试范围是本人实践过的,且用于过部分上市的基金公司安全测试执行过程的测试验证。

面对任何测试对象,我们需要有对应的范围,然后才讲到各个范围的技术方法。 所以我里首先枚举 Web 安全测试的范围内容。

1. Web 网站通用的安全漏洞测试范围

  • SQL 注入攻击
  • 跨站脚本攻击 XSS
  • XML 外部实体注入(XXE)
  • 跨站点伪造请求(CSRF)
  • 服务器端请求伪造(SSRF)
  • 任意文件上传漏洞
  • 任意文件下载漏洞
  • 任意目录遍历漏洞
  • 信息泄露
  • CRLF 注入
  • 命令/代码执行
  • URL 重定向
  • 第三方组件安全
  • 本地远程文件包含
  • 安全配置错误
  • 不安全的加密存储
  • 传输层保护不足
  • 已存在的脚本木马

2.基于业务层面的安全漏洞范围

  • 未授权访问
  • 验证码机制
  • 业务数据篡改
  • 业务流程乱序
  • 业务接口恶意调用
  • 用户账号枚举
  • 用户密码枚举
  • 用户弱口令
  • 会话标志固定攻击
  • 越权访问

3.基于应用框架及中间件安全漏洞

  • Webloigc反序列化命令执行
  • Bash远程解析命令执行漏洞
  • Websphere反序列化命令执行
  • Jenkins反序列命令执行
  • Jboss反序列化命令执行
  • Struts2远程命令执行
  • OPENSSL心脏滴血漏洞

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

2401_84240129
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
〖Python WEB 自动化测试实战篇⑮〗 实战 - 自动化测试的持续集成
易编橙 · 终身成长社群,相遇已是上上签!
06-16 4万+
今天要和大家来聊聊关于自动化测试的持续集成,通过前文的学习,我们的自动化测试框架、测试的思想已经融入到了整体的代码编写过程了。接下里的下一步就是如何让自动化测试能够像开发一样、敏捷思想一样,能够持续集成的跑起来。可能大家对持续集成还不是太了解,那就先简单的了解一下持续集成的思想吧。.....................
Web测试方法大全
fanfangyu的博客
07-22 3334
通常,测试工具在第二次使用的时候,它创造的效益,就足以支付成本。(2)XSS跨网站脚本攻击程序或数据库没有对一些特殊字符进行过滤或处理,导致用户所输入的一些破坏性的脚本语句能够直接写进数据库,浏览器会直接执行这些脚本语句,破坏网站的正常显示,或网站用户的信息被盗,构造脚本语句时,要保证脚本的完整性。业务流程,一般会涉及到多个模块的数据,所以在对业务流程测试时,首先要保证单个模块功能的正确性,其次就要对各个模块间传递的数据进行测试,这往往是容易出现问题的地方,测试时一定要设计不同的数据进行测试。...
Web项目测试点总结(持续更新
qq_41811874的博客
09-27 2962
写在前面 所有的测试都以需求为依据,当然有时候需求文档并不健全,就需要测试人员通过其它人员口述获取,或者通过比较市面上同类型的产品作为比较。 接触过Web项目测试的人都应该知道Web端测试也就分为两种,一种是功能测试,一种是非功能测试。 这篇文章仅从工作(持更)这两大方面进行梳理,有不足的地方希望能指出促进修改。 测试点 一、功能测试 1.UI界面 需求文档角度: 是否和产品原型一致(一般...
Web安全工具—Nmap(持续更新
热门推荐
weixin_44431280的博客
03-08 1万+
Web安全工具—Nmap 简介:Nmap是一款非常强大的端口,主机探测工具,是用来探测计算机网络上主机和服务的一种安全扫描器,nmap会发送特制的数据包到目标主机,然后根据响应数据包进行分析来判断扫描目标的信息。 常用功能:主机探测,端口探测,服务探测,信息收集,漏洞探测等等 主机探测: 扫描单个主机:nmap 10.86.0.35 扫描整个子网:nmap 192.168.1.1/24 扫描多个目标:nmap 192.168.1.1 192.168.1.5 扫描一个范围内的目标:nmap 192.168.1
Web测试性能测试基础
测试界的彭于晏的博客
03-17 1802
软件测试基础,如何做性能测试?测试工作开展性能测试应该关注那些点?性能测试都有哪些指标?以下整理出一些参考测试点(整理自互联网),希望对大家测试工作有帮助 性能测试相关 1连接速度测试 用户连接到Web应用系统的速度根据上网方式的变化而变化,他们或许是电话拨号,或是宽带上网。当下载一个程序时,用户可以等较长的时间,但如果仅仅访问一个页面就不会这样。如果Web系统响应时间太长(例如超过5秒钟),用户就会因没有耐心等待而离开。 另外,有些页面有超时的限制,如果响应速度太慢,用户可能还没来得及浏览内
Web安全性测试1
08-08
Web安全性测试是确保网站及其应用程序在面临恶意攻击和未经授权访问时能够有效保护用户数据和系统安全的重要环节。...同时,持续关注最新的安全威胁和防御策略,不断更新测试方法,以应对日益复杂的网络攻击。
WEB安全测试分类及防范测试方法
06-20
- 防范测试方法包括编写安全的代码、使用最新的安全框架、应用防火墙配置、定期更新补丁、进行安全培训等。开发者应遵循安全编码原则,如最小权限原则、输入验证、输出编码等,同时,利用如WAF(Web应用防火墙)和...
Web安全服务渗透测试报告模板 .docx
10-23
本报告将详细阐述对【Web安全服务】进行的渗透测试过程,评估系统的安全性,并提供相应的改进建议。 **一. 摘要** 1.1 **基本信息** - 该报告涵盖了对指定门户网站的渗透测试,包括其服务器配置、应用架构、数据库...
web安全测试
06-04
Web安全测试是针对基于Web的应用程序进行的一种安全性评估过程,旨在发现并修复可能导致数据泄露、系统破坏或服务断的安全漏洞。随着互联网技术的发展,Web应用成为黑客攻击的主要目标,因此,Web安全测试变得至关...
在PythonWeb项目使用Jenkins进行持续集成
02-25
在一个项目的开发过程,往往会有一些需要反复执行的操作,比如编译、测试、部署。具体于Flask项目,我一般使用nose执行单元测试、fabric进行部署、pylint执行代码质量检测等。这些频繁需要执行的步骤,是非常枯燥...
TinyVue v3.17.0 正式发布,推出了一款基于 Quill 2.0 的富文本编辑器,功能强大、开箱即用!
OpenTiny的博客
07-17 1009
本文由体验技术团队Kagol老师原创~我们非常高兴地宣布,2024年6月26日,TinyVue 发布了 v3.17.0 🎉。TinyVue 每次大版本发布,都会给大家带来一些实用的新特性,上一个版本我们重构了 chart-core,新增 CircleProcessChart 圆环进度图等6个新的图表组件,并增加了 Statistic 数据统计组件。表格图片超链接复制粘贴插入表情文件上传@提醒斜杆菜单v-auto-tip。
Web 性能入门指南 - 2.2 理解和改进最大内容绘制 (LCP)
weixin_43303603的博客
07-15 412
最大内容绘制 (LCP) 衡量的是页面上最大视觉元素的渲染时间。为了让 Google 满意,请将 LCP 时间控制在 2 秒以内。
博客前端项目学习day03——框架页
最新发布
qq_53237241的博客
07-19 244
【代码】博客前端项目学习day03——框架页。
Web前端技术 01】 探索HTML5的奥秘:为初学者打造网页的基石
Wc&Yd博客
07-16 879
探索HTML5奥秘,本文带初学者迈入网页设计大门。详解HTML5文档结构、语义化标签、新增API,助您构建现代网页,激发学习兴趣,开启开发之旅。
前端性能优化--懒加载
weixin_43799793的博客
07-19 85
3、同时还可结合 lazy loading 属性,利用浏览器的原生属性,进一步优化图片加载,不过其延迟加载机制完全是由浏览器自身决定的,在不同浏览器上效果不同(BTW,部分浏览器可能并不支持)。2、然后对元素进行监听,当图片进入可视区域时,提取元素的 data-src 即真实的图片地址赋值给 src 属性,就会去发送请求加载图片,实现了懒加载。设置为 1 张 1px*1px 的透明图片用作占位符,以防止出现出错图标。TinyPNG 网站: https://tinypng.com/
vue3前端开发-如何让自己的网站适合SEO排名规则
yrldjsbk的博客
07-17 160
我们大家都知道,原始出生的vue3项目,原始代码层面,是没有meta标签的,也就是说,不适合SEO排名规则。SEO排名规则,蜘蛛爬虫抓取网站页面的内容,就会把这种meta标签内容进行采集,匹配。但是,这个技术要求大家还是应该知道的。黑马教育,课程,前端课程案例项目:小兔鲜儿超市,vue3前端项目案例。想学习vue3前端开发,拿来练习,实战的朋友们,值得一看哦。这个代码,就是我自己手工录入的。录入后,再次在浏览器界面刷新请求服务器。返回的代码模块就可以看见了。自己刚刚手工录入的meta信息出现了。
自定义 Hooks 在 Vue3 的应用和重要性
CodeQi技术小栈的博客
07-16 1008
自定义Hooks是Vue3提供的一种将可复用逻辑提取到独立函数的方式。这不仅可以减少代码的重复,还能让你的代码更加清晰易读,维护起来也更加方便。在这篇文章,我将通过详细的步骤和实例,带你深入了解如何在Vue3使用自定义Hooks,以及它们在实际项目的应用和重要性。首先,我们来看一下如何创建一个简单的自定义Hook。在Vue3,自定义Hook本质上就是一个返回特定功能的函数。让我们从一个简单的计数器例子开始。
前端小项目-强调鼠标悬停时效果的名片
关注收藏,可以私信解决问题!
07-19 833
在学习完HTML和CSS之后,我们就可以开始做一些小项目了。本篇文章所讲的小项目为——动态效果名片。通过这个项目,你将学会如何使用HTML和CSS来创建一个具有动态效果的名片。
【简历】惠州某二本学院:前端简历指导,秋招面试通过率为0
shuize123的博客
07-16 662
因为基本上写网址简历的,直接会被扔掉,会让面试官觉得你要么是上过网课,要么是上过培训,因为现在特别是二本的简历,非常之多,所以HR会一直找一个条件,能够去筛选掉简历,同学说是专业的TOP2,那这个至少比98%的他们同校的同学要好,整体来讲的话,还是不错的,后面可以再补充一下放最好的奖项,,所以这个同学,在二本的这个小群体里面,也是在小公司的秋招里面,在教育背景这块,是可以比大部分二本同学要好一点的。,但是他不会给你减分,他有怀疑,但是他不确定的情况下,他是会给你机会往下去看的,
深度解析:Web安全测试的逻辑漏洞与防范
"本文介绍了在Web安全测试常见的逻辑漏洞,包括订单金额任意修改、验证码回传和未进行登录凭证验证这三个实例,详细分析了漏洞的原理,并提供了相应的预防策略。" 在Web应用的安全测试,逻辑漏洞是不容忽视的一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值